De Autoriteit Persoonsgegevens (AP) legt het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een boete van 450.000 euro op. Dit omdat het UWV het versturen van groepsberichten via de zogenoemde ‘Mijn Werkmap’-omgeving niet goed beveiligd had. Hierdoor lekten gezondheidsgegevens van ruim 15.000 cliënten.

De Mijn Werkmap’-omgeving is een persoonlijke omgeving op de website van het UWV, waar werkzoekenden contact hebben met het UWV. Door de slechte beveiliging hiervan waren er verschillende datalekken van persoonsgegevens, waaronder gezondheidsgegevens, van in totaal ruim 15.000 mensen.
Katja Mur, bestuurslid AP: “Hoe het UWV omgaat met de bescherming van persoonsgegevens, heeft de aandacht van de AP. Zo waren er eerder beveiligingsproblemen met het werkgeversportaal en moesten wij met een sanctie een betere beveiliging afdwingen. Je moet van een organisatie zoals het UWV kunnen verwachten dat jouw gegevens veilig zijn. Als dat niet zo is, raakt dit het vertrouwen van de burger in de overheid.”

Verkeerde ontvangers
Tussen augustus 2016 en eind 2018 was het proces voor het verzenden van groepsberichten via de Mijn Werkmap-omgeving niet goed beveiligd. Daardoor kwamen bestanden met een veelheid aan persoonsgegevens van werkzoekenden terecht bij de verkeerde ontvangers, namelijk in de Mijn Werkmap-omgeving van andere werkzoekenden.
Het ging hierbij om verschillende persoonsgegevens, zoals adresgegevens, gegevens over opleidingen, nationaliteit, BSN, maar ook informatie over fysieke beperkingen, psychisch en lichamelijk werkvermogen en of mensen te ziek zijn om te werken.

Negen keer gelekt
Het lekken van gegevens gebeurde in die periode negen keer, waarbij in totaal de gegevens van ruim 15.000 mensen bij de verkeerde ontvangers terecht zijn gekomen.
Mur: “Dit zijn voor een deel bijzondere persoonsgegevens, waar extra zorgvuldig mee omgesprongen moet worden. Het is pijnlijk als dit soort gegevens over jezelf in verkeerde handen terechtkomen. Ook kan iemand ermee aan de haal gaan, waardoor je kwetsbaar bent voor bijvoorbeeld oplichting. Het is daarom zorgelijk dat het UWV na de eerste datalekken niet meteen met een passende actie kwam. Er stonden toen 4,5 miljoen Nederlanders ingeschreven bij het UWV, waaronder werkzoekenden, zieken en arbeidsongeschikten. Deze mensen liepen onnodig het risico dat hun persoonsgegevens werden gelekt.”

Beveiligingsmaatregelen
De AP is dit onderzoek gestart nadat bij het UWV negen datalekken hadden plaatsgevonden. Uit het onderzoek bleek onder meer dat het UWV de risico’s bij het verwerken van persoonsgegevens van werkzoekenden van te voren onvoldoende in kaart had gebracht.
Daarnaast had het UWV eerder technische maatregelen moeten doorvoeren. Bovendien heeft het UWV de eigen beveiligingsmaatregelen onvoldoende gecontroleerd en geëvalueerd.
Pas eind 2018 nam het UWV technische maatregelen om soortgelijke datalekken te voorkomen.
Het UWV kan nog in bezwaar gaan tegen de boete van de AP.

Reactie UWV
Als reactie zegt het UWV dat de privacy-vereisten van de AVG van essentieel belang zijn voor de dienstverlening en voor de privacybescherming van werkzoekenden. “Wij onderschrijven dan ook het oordeel van de Autoriteit Persoonsgegevens dat UWV anders had moeten handelen. UWV heeft na de eerste datalekken wel degelijk maatregelen genomen. Maar dit waren vooral organisatorische maatregelen, zoals aangescherpte werkinstructies, bewustwording bij medewerkers en een collega vragen mee te laten kijken (vier-ogen-principe). Ondanks deze maatregelen deden zich in 2017 en 2018 nog datalekken voor. Dit trekken wij ons zeer aan.”
“In 2018 hebben wij na een evaluatie van deze datalekken een technische maatregel toegepast om het niet meer mogelijk te maken om Excel-documenten toe te voegen aan een Werkmap-groepsbericht. Sindsdien hebben dergelijke datalekken zich niet meer voorgedaan. Achteraf gezien had het voor de hand gelegen om eerder in te zetten op de technische maatregel om de mogelijkheid voor het toevoegen van een Excel-bestand te blokkeren. Het is terecht dat de AP daar op wijst.”